طی تحقیقات تروی هانت – یکی از متخصصان برتر مایکروسافت در زمینه امنیت شبکه و کامپیوتر – در مورد نحوه انتخاب رمزعبور توسط کاربران، وی به این نتیجه رسیده بود اصولا، رمزهای عبور انتخابی بسیار کوتاه (بین 6 تا 10 حرف)، ساده (کمتر از یک درصد از آنها ترکیب حرف و عدد هستند) و قابل پیش ‌بینی (بیش از یک‌سوم آنها جزو عبارات رایج هستند) هستند.
هانت در مقاله‌ ای که در وبلاگ شخصی خود منتشر کرده، مدعی شده است برایش بسیار جالب و عجیب بوده که نتیجه تحقیقاتش در مورد حساب کاربری سیستم سونی نشان داده است 92 درصد حساب ‌های کاربری اعضای این سیستم، رمزهای عبور مشابه یکدیگر دارند. در همین راستا این سوال برایش پیش آمده است که کاربران بر چه اساسی برای حساب ‌های کاربری خود رمزعبور انتخاب می ‌کنند.
شاید بتوان با در نظر گرفتن ریشه و منبع کلمات و اعداد به کار رفته در رمزعبور یا پیش زمینه فکری فرد در مورد شاخصه‌ های انتخاب، این سوال را پاسخ داد.
در واقع باید گفت بخش عظیمی از رمزهای عبور حول محور کوچک و مشخصی از انتخاب ها می چرخند. این یک تحقیق جالب در مورد کاربرانی است که رمزهای عبور ساده ای برای حساب های کاربری خود انتخاب می کنند.

منبع اطلاعات و روند تحلیل
اطلاعاتی که در این جا از آنها استفاده شده است از منابع مختلفی همچون وب سایت های سونی و Gawker (که چندی پیش هک شده و حساب کاربری اعضای شان در اینترنت منتشر شد) گرفته شده اند. این اطلاعات فقط شامل آدرس ایمیل و رمزهای عبور افراد است و هیچ اطلاعات بیشتری از آنها، همچون آدرس شخص در دنیای واقعی وجود ندارد. در حدود 300 هزار حساب کاربری در این تحقیق وجود دارند و هر کدام نکته قابل توجهی در مورد انتخاب رمزعبور دارند.
سه تا از منابع اطلاعاتی اصلی مورد استفاده کاربران برای انتخاب رمزعبور را می توان موارد پایین معرفی کرد:
• نام افراد: شامل بیش از 26 هزار نام و نام خانوادگی رایج است.
• نام مکان: شامل نام منطقه، شهر، روستا و حتی کشور است که حدود 32 هزار حساب با این نام ها ثبت شده اند.
• لغت نامه انگلیسی: حدود 190 هزار کلمه در لغت نامه انگلیسی وجود دارد.
با کمک سه منبع ذکر شده در بالا می توان ریشه و منبع اصلی رمزهای عبور انتخابی را مشخص کرد. سه گزینه بالا که از منابع مختلف و البته فراگیر و جامع گرفته شده اند، به هیچ وجه کامل نیستند. این به این معنا است که احتمال دارد گزینه ها و عبارت های اصلی و کلیدی در میان این سه آیتم نباشند. در این صورت، بدون شک حدس هایی که در مورد رمزعبور می زنیم بسیار ضعیف تر از زمانی است که فهرست کامل و دقیقی از احتمالات را در اختیار داریم.
اما به هر حال، در اینجا قصد داریم این موضوع را کمی ساده تر فرض و احتمال وجود نقطه گذاری و نشانه های نوشتاری را رد کنم. البته این نشانه ها برای انتخاب رمزعبور بسیار مهم هستند و نقش سازنده ای دارند. اما در این تحقیق ما فرض را بر وجود نداشتن آنها می گذاریم. چون همان طور که قبلا هم گفتیم فقط حدود یک درصد از کاربران از این نشانه ها برای رمزعبور اکانت شان استفاده می کنند.
برای انتخاب رمزعبور از نام خودمان، به هر صورتی که باشد، همچون Troy یا troy یا حتی به صورت ترکیبی با نام خانوادگی همچون Troy Hunt یا troyhunt باز هم از منابع منطقی مشابه استفاده می کنیم. منبعی که حدود 45 درصد کاربران از آن برای نوشتن رمزعبور استفاده می کنند.
در این تحقیق، ابتدا به سراغ اطلاعات فردی کاربر همچون نام او می رویم. بعد از آن به اطلاعات کلی تر همچون محل زندگی و بعد لغت نامه انگلیسی خواهیم پرداخت تا مشخص کنیم این گزینه ها تا چه حد در ساخت رمزعبور نقش دارند.

نام افراد
تحقیق را با نام افراد شروع می کنیم زیرا نام، بارزترین مشخصه فردی هر کاربری به شمار می آید. البته نام مورد نظر الزاما نام خود کاربر و دارنده حساب نیست. ممکن است نام همسر، فرزند و حتی حیوانات خانگی او باشد. در ضمن این که این نام می تواند اسم کوچک، نام خانوادگی و حتی اسم مستعار باشد. پس مساله به آن سادگی که در ابتدا فرض می شد نیست.
اگر به نمودارهای زیر توجه کنید متوجه می شوید چه تعداد از افراد از نام - با در نظر گرفتن بخش ها و احتمالات مختلف آن – برای رمزعبور خود استفاده می کنند.

رمزهای عبوری که از نام خود کاربر ساخته شده اند

نمودار بالا نشان می دهد حدود 14 درصد از کاربران برای انتخاب رمزعبور اکانت شان از نام خود استفاده می کنند. البته این پایان ماجرا نیست. هستند کاربرانی که به نام خود عدد یا نماد و نشانه های مختلفی اضافه می کنند. به طور مثال troy21، دقیقا نام فرد نیست اما مشخص است ریشه آن از اسم کوچک وی گرفته شده است.
با این حساب باید بدانید که سه روش رایج در میان کاربران برای استفاده از نام در رمزعبور وجود دارد:
• استفاده از اعداد در کنار اسم
• استفاده از نشانه ها و علامت های نقطه گذاری
• وارونه کردن نام بدون استفاده از عدد و علامت
نمودار پایین، با احتساب سه احتمال ذکر شده در بالا شکل گرفته است.

رمزهای عبور برگرفته شده از نام کاربران

همان طور که در شکل بالا مشخص است، اضافه کردن اعداد به اسم، کاربرد بیشتری نسبت به دو گزینه دیگر دارد. جالب اینجا است که عدد یک رایج ترین رقم برای استفاده در رمزعبور حساب های کاربران است. اعداد دو رقمی و چهار رقمی همچون اعداد سال یا ماه تولد نیز استفاده فراوانی در شکل گرفتن رمزهای عبور دارند.
باز همان طور که در ابتدا اشاره کردیم، درصد استفاده از نشانه ها در رمزعبور بسیار پایین است. کمتر از یک درصد از کاربران از نقطه گذاری در نوشتن رمزعبور استفاده می کنند. برعکس و وارونه کردن نام نیز از آن جا که کمی گیج کننده و درهم است، یکی از روش های بسیار ساده برای امنیت بیشتر رمزعبور به حساب می آید.
البته، از آنجا که تعداد حروف نام های برعکس شده با نام اصلی کاربر مغایرتی ندارد، احتمال لو رفتن شان زیاد است.

نام محل
یکی دیگر از روش های رایج برای نوشتن رمز عبور، استفاده از نام مکان ها است. این مکان ها می تواند شامل شهر، خیابان، منطقه، نام شرکت و حتی کشور کاربر باشند. یا حتی نام محلی که برای کاربر اهمیت فراوانی دارد.
نمودار پایین نشان دهنده آمار استفاده از نام مکان در رمزعبور است.

همان طور که در شکل بالا می بینید حدود 8 درصد از رمزهای عبور کاربران بر اساس نام محل یا مکان خاصی است. برخی از مکان ها نام مشابه انسان دارند همچون ویکتوریا یا جزو لغت های لغت نامه انگلیسی هستند. این مساله تفاوت چندانی در اصل قضیه ندارد. اصل این است که این کلمات برگرفته از نام های رایجی هستند که ممکن است هر کاربری از آنها استفاده کند.
اگر نام مکان را نیز همچون نام کاربر به سه دسته نام، نام بعلاوه عدد و نماد و نام وارونه مکان طبقه بندی ‌کنیم، آماری همچون نمودار پایین به دست می آید.

همان طور که قبلا هم اشاره کردیم، عدد «یک»پرکاربردترین عدد میان دیگر اعداد است. بیشتر کاربران به جای استفاده از اعداد به صورت رندوم سعی در استفاده از اعدادی دارند که به خاطر سپردنشان برایشان آسان باشد. البته ترکیب نام و عدد با هم برای ساختن رمزعبور، درصد امنیت آن را بالاتر می برد.

کلمات لغت‌ نامه
استفاده از فرهنگ لغت رایج ترین منبع برای انتخاب رمزعبور میان کاربران است. شاید بتوان لغت نامه را بزرگ ترین منبع دانست.
رمزهای عبوری که از لغت نامه انتخاب شده اند:

حدود 25 درصد از رمزهای عبور از فرهنگ لغات انگلیسی استخراج شده‌اند. در پایین سه کلمه رایجی را می‌بینید که به عنوان رمزعبور، از دیکشنری انتخاب شده اند:
• password (رمزعبور)
• monkey (میمون)
• dragon (اژدها)
شاید گزینه اول برای شما هم جالب باشد که فردی از لغت پسوورد به عنوان رمزعبور استفاده کند. جالب تر این که کاربران بسیاری به این کلمه فکر و آن را به عنوان رمزعبور انتخاب کرده اند. با داشتن نام کاربری و رمزعبور چندصد هزار اکانت (در ابتدای بخش اول به منابع این مقاله اشاره شد)، می توان به راحتی گفت رمزعبور حدود دوهزار و اندی از حساب های کاربری، کلمه password است.
کلمات برگرفته شده از دیکشنری نیز در حالت ترکیبی ترتیبی همچون نام شخص و نام محل دارند. یعنی می توان برای ساختن رمزعبور با آنها، از اعداد یا نشانه ها و علامت های نقطه گذاری در کنارشان استفاده کرد یا آنها را وارونه و برعکس نوشت.
ساختار رمزهای عبوری که از دیکشنری استخراج شده اند:

اعداد
اعداد، یکی دیگر از منابع انتخاب رمزعبور هستند. منظور از عدد، فقط خود اعداد و ارقام به تنهایی هستند، نه اعدادی که در کنار کلمات، رمزهای عبور را می سازند. این اعداد تقریبا محبوبیت خوبی میان کاربران دارند و درصد استفاده آنها زیاد است.

رمزهای عبور عددی

حدود 14 درصد از رمزهای عبور حساب های کاربری، عددی هستند. بیشترین کاربرد را نیز سه ترکیب پایین به خود اختصاص داده اند:
• 123456
• 12345678
• 123456789
در مورد رمزهای عبور عددی، تعداد اعداد و طولانی بودن رمزعبور است که اهمیت دارد. نمودار زیر، درصد استفاده از تعداد 4، 6، 8 و بیشتر عدد را نشان می دهد.
تعداد اعداد رمزعبور:

شاید دانستن آمار استفاده تعداد رقم های رمزهای عبور عددی برای شما هم جالب باشد. معمولا رمزهای عبوری که در ساختشان از ارقام بین یک تا 21 استفاده شده است، ۴، 6 یا 8 رقمی هستند. بیشترین استفاده از رمزعبور چهار رقمی را کد «1234» به خود اختصاص داده است. البته رمزهای عبور عددی چهار رقمی کمترین استفاده را بین دیگر کدها دارند و فقط 8 درصد از کاربران از آنها استفاده می کنند. بد نیست بدانید کد «1984» نیز کد چهار رقمی دیگری است که رواج بسیاری بین کاربران دارد. «1984» نام رمان بسیار جذاب و مشهور «جورج اورول» است.
البته رمزهای عبور عددی چهار رقمی می‌توانند از سال تولد، رمز عابر بانک، پین کد موبایل و موارد مشابه دیگر نیز گرفته شوند.
کدهای 6 رقمی بیشترین آمار را میان رمزهای عبور عددی دارند. این کدها بیشتر بر مبنای تاریخ مشخصی - روز، ماه و سال (دو رقم آخر)– نوشته می شوند.
در مورد کدهای 8 رقمی نیز می‌تواند بر مبنای تاریخ (با ذکر سال به طور کامل) باشد. ولی در نهایت باید گفت این کدها الگوی خاصی ندارند و هر ترکیبی می تواند این رمزها را تشکیل دهد. شاید بتوان از رایج ترین و ساده ترین رمزهای عددی 8 رقمی به کدهای «12345678» و «11223344» اشاره کرد.

تکرار کلمات
نوشتن دوبار پشت سر هم یک لغت یا به اصطلاح تکرار آن برای ساخت رمزعبور نیز یکی از روش های معمول است. البته کمتر از 3 درصد از کاربران از این روش استفاده می کنند.
شکل پایین همه منابع مورد استفاده در رمزعبور را با هم مقایسه کرده است.
رمزهایی که با تکرار دوباره یک کلمه ساخته شده اند:

همان طور که در شکل بالا می‌بینید، حدود 2.7 درصد از کاربران از ترفند تکرار کلمات برای رمزعبور حسابشان استفاده می کنند. بیشترین آمار را نیز سه کلمه پایین در آمریکا از آن خود کرده اند:
• blahblah
• poopoo
• lovelove
به نظر می رسد این گونه رمزهای عبور در واقع کلمات ساده و قابل حدسی باشند که برای جلوگیری از زود لو رفتن و البته برای بلند و طولانی شدن رمزعبور، تکرار می شوند. تعداد کلمات این نوع رمزهای عبور، معمولا بیش از 8 کلمه نیست. از نظر امنیتی نیز چندان معتبر نیستند زیرا یک سری حروف ساده اند که تکرار شده اند. اصولا این گونه رمزها بدون هیچ گونه علامت، نشانه یا عددی نوشته می شوند.

رمزعبور به شکل خود نام کاربری
چرا باید برای به یاد ماندن رمزعبور ایمیل فسفر مصرف کنیم، وقتی می توان به آسانی از خود نام کاربری به عنوان رمزعبور هم استفاده کرد؟ متوجه منظور من شدید؟ به طور مثال، نشانی ایمیل فردی troyhunt@hotmail.com است و وی می‌ تواند از troyhunt (نام کاربری) به عنوان رمزعبورش هم استفاده کند. این موضوع علاوه بر جالب بودن، همیشه هم در یاد می ماند. اما درصد امنیت آن چندان بالا نیست.
رمزهای عبوری که نام کاربری هستند:

آمار استفاده از نام کاربری به عنوان رمزعبور کمتر از 3 درصد است، اما باز هم میزان قابل توجهی است.

عبارات کوتاه
استفاده از عبارات کوتاه نوعی دیگر از روش های ساخت رمزعبور برای ایمیل است. شاید بتوان این روش را جزو دقیق ترین و امن ترین روش ها برای این منظور دانست. حدس زدن و پیدا کردن عبارات کوتاه، کار چندان ساده ای نیست. البته تعداد کمی از کاربران از این عبارات به عنوان رمزعبور استفاده می کنند.
نمودار پایین نمایشگر آمار استفاده عبارات کوتاه نسبت به دیگر منابع است.

در پایین سه نمونه از رایج ترین عبارت هایی که کاربران بیش از همه استفاده می کنند را مثال زده ایم:
• trustno1 (به هیچ کس اعتماد نکن - trusno one)
• letmein (بگذار بیایم داخل - let me in)
• iloveyou (دوستت دارم - i love you)
گزینه نخست کمی سخت تر از دو گزینه دیگر است. دو گزینه دوم و سوم موارد مصرف بسیاری دارند و زیاد شنیده می شوند. اما گزینه اول از آنجا که به جز حروف، ترکیبی از عدد نیز هست، به ظاهر امنیت بیشتری دارد و کاربران بیشتری از آن استفاده می کنند. البته باید گفت گزینه های دو و سه در کتاب رمزهای عبور رایج هم وجود دارند و این موضوع ضریب امنیتشان را کاهش می دهد.

الگوهای کیبوردی
هر چه پایین تر می آییم به منابعی می رسیم که کمترین کاربرد را میان کاربران دارند. اما در عین حال امنیت بسیار خوبی نسبت به روش های رایج تر دارند. استفاده از الگوهای خاص روی صفحه کلید نیز یکی دیگر از منابع کم کاربرد اما امن است. دلیل امنیت آن نیز این است که کلماتی که بر اساس الگوی خاصی ساخته می شوند، در فرهنگ لغت انگلیسی وجو ندارند. یعنی در واقع کلمه معنی دار و مشخصی نیستند که بتوان به راحتی آن را پیدا کرد.
شکل پایین میزان رواج استفاده از الگوهای خاص روی صفحه کلید را با دیگر منابع مقایسه می کند:

همان طور که در شکل بالا مشخص است، کمتر از یک درصد از کاربران از pattern یا همان الگوهای صفحه کلید برای ساخت رمزعبور استفاده می کنند. در پایین سه الگویی که بیش از همه استفاده می شوند را ذکر کرده ایم:
• qwerty
• asdfgh
• asdf1234

تعدادی از این رمزها بسیار خلاقانه و رندوم انتخاب و تعدادی از آنها نیز با اعداد ترکیب می شوند. در هر صورت باز هم تفاوت چندانی ندارد، چون به هر حال قابل پیش بینی هستند.

مرتبط با وب سایت
با آن که این منبع آمار بسیار کمی را میان کاربران به خود اختصاص داده است، اما ارزش معرفی شدن به عنوان روشی برای انتخاب رمزعبور را دارد. رمزهای عبور مرتبط به سایت، اصولا مبنی بر لینک، نام یا موارد مرتبط به سایتی هستند که در آن ساخته می شوند.
در پایین نسبت استفاده این منبع را با دیگر منابع می بینید.

به طور مثال به گزینه پایین توجه کنید:
• نام سایت: Gawker رمز عبور: Gawker
• نام سایت: Sony Pictures رمز عبور: sony123
• نام سایت: pron.com رمز عبور: ilovepron
همان طور که می بینید باز هم با رمزهای عبوری رو به رو هستیم که از کلمات به یادماندنی ساخته شده اند. منظور از به یاد ماندنی، کلماتی هستند که به طریقی به خود کاربر، نوع کار او یا حتی سایتی که در آن حساب دارد، مرتبط است. با این روش، احتمال فراموش کردن رمزعبور کاهش می‌یابد. البته رمزعبور موردنظر به همان اندازه نیز قابل پیش بینی می شود. البته بعضی از این کدها همچون گزینه سوم رمزهای عبور بدی نیستند زیرا به نوعی گیج کننده اند.

منابع دیگر
آیا منبع دیگری نیز برای استخراج رمزعبور باقی مانده است؟ بله، دسته بزرگی از رمزهای عبور که به علایق شخصی کاربر مربوط هستند و هیچ گونه الگو و شکل ساختاری خاصی ندارند و نمی توان برای آنها قالب خاصی تعریف کرد. همان طور که در شکل پایین می بینید، حدود 31 درصد از رمزهای عبور حساب های کاربری بر اساس همین منبع ساخته شده اند. یعنی در واقع بیشترین آمار ساخت رمزعبور، بر اساس هیچ گونه قالب و ساختار خاصی نیست و به سلیقه و علاقه کاربر بر می گردد.

در پایین نمونه هایی از این منبع را می بینید که توضیحات آنها نیز در جلوی هر کدام نوشته شده است.
• thx1138 (نام فیلمی که چهل سال پیش ساخته شده است)
• gundam (نام یک سریال کارتونی)
• ncc1701 (اسم رمز USS Enterprise در استارتِرِک)
این رمزها به هیچ کدام از دسته بندی های ذکر شده در بالا متعلق نیستند و بیشتر به فرهنگ و زندگی کاربر ارتباط دارند.
بیشتر این رمزها قابل پیش بینی نیستند. به طور مثال رمز mw818283 هیچ قاعده خاصی ندارد و پیدا کردن آن، کار زمان بر و خسته کننده ای است.

خلاصه کلام
در انتهای این توضیحات می‌توان به سه نتیجه گیری کلی اشاره کرد:
• رمزهای عبور یا به خود کاربر، شخصیت و نام و کار او بستگی دارند، یا به فرهنگ و علاقه‌اش
• تلاش برای ساختن رمزهای عبور عجیب و غیرقابل دستیابی، اصولا منجر به استفاده از الگوهای معمول و قابل دسترس می شود.
• استفاده از رمزهای عبور رندوم و بی قاعده بهترین روش برای امنیت حساب کاربری است. اما تقریبا هیچ کاربری از این روش استفاده نمی کند. آمار استفاده از این روش میان کاربران ، کمتر از یک درصد است. عملا یعنی هیچ!
امیدواریم با دانستن این موارد و آگاهی از آمار استفاده از منابع مختلف رمزهای عبور و میزان امنیت آنها، رمزعبور قوی و غیرقابل دسترسی برای حساب کاربری خود بسازید.